SysFader:iexplore.exe

Printable View

27.10.2010, 21:39
Albert B

SysFader:iexplore.exe

Здравствуйте, уважаемые вирусологи.

Мне выдали ноутбук со словами необходимо переустановить IE и желательно обновить антивирус. Я разумеется взялся за это дело, ведь дело плевое.
В итоге, включаю ноутбук и при открытии IE получаю сообщение:
"SysFader:iexplore.exe"
Инструкция по адресу "0x4334102d" обратилась к пямяти по адресу "0xdb62f37a". Память не может быть "written"
Иногда, не понятно от чего, появляется идентичное сообщение но вместо "written" - "read".
На компьютере также была установлена Opera, при запуске ее выводит сообщение Opera.exe - "Точка входа не найдена"
Точка входа в процедуру SetupDiDestroyDeviceInfoList не найдена в библиотеке DLL SETUPAPI.dll. После нажатия ОК в данном сообщение выводится аналогичное как при открытии IE.
AVZ по началу не открывалось, пришлось запускать в защищенном режиме AVZ. Открыл AVZ просканировал,увидел, что программа рушнулась на тот де файл SETUPAPI.dll. Псоле сканировал другими программами, ну не суть. Витоге я от безисходности или от тупости своей удалил тот как казалось бы на первый взгляд безобидный системный файлик SETUPAPI.dll(при помощи AVZ разумеется, т.к. даже на переименование файла он ругается), что привело к падению ОС. :094:
ОС не запускалась ни в одном режиме, но эту проблему я решил через Лайв СД, т.е. снова закинул файл SETUPAPI.dll, скачанный отсюда [url]http://virusinfo.info/showthread.php?t=16590[/url], предложенный любезным господином MAXIM, за что ему огромная благодарность. Извиняюсь за столь долгое описание проблемы, просто думал, что что-то может из этого пригодиться.
Теперь в безопасном режиме не могу запустить AVP Tool, он просто напросто не запускается, также как и HijackThis(что обычный, что переименнованный).:clapping:
Могу лишь прикрепить логи от AVZ.
Можно было бы переустановить ОС, но этот выход слишком прост и тривиален.8) Прошу помогите.
27.10.2010, 23:41
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{C1626E66-C26B-C628-E1DF-CDACCFA26EE1}');
QuarantineFile('C:\Program Files\Common Files\goskdl.dll','');
QuarantineFile('C:\WINDOWS\system32\ozfifr.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\rksldk.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Man-ager\AppCertDlls','DefaultVerifier');
DeleteFile('C:\WINDOWS\system32\ozfifr.exe');
DeleteFile('C:\Program Files\Common Files\goskdl.dll');
DeleteFile('C:\Program Files\Internet Explorer\rksldk.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(20);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
16.11.2010, 12:10
Albert B

Сделал и отослал лог AVZ, согласно инструкции.

при запуске ComboFix происходит следующее:

ComboFix ругается на Lava Soft Ad-Aware Live Scaner, хотя я его полностбю удалил, но несмотря на предупреждения ComboFix, я все равно продолжил работу.
Затем появляется окно в котором выводится следующее:
"Please wait
ComboFix is preparing to run

System file is infected!! Attempting to restore
C:\Windows\system32\sfcfiles.dll"
После этого сообщения появляется синий экран смерти и компьютер перезагруается.

В итоге IE заработал, с Opera тоже все впорядке, но вот Google Chrome не работает. Незамедлительно скачал Eset NOD32, он запросил обновления WINDOWS, я их установил, затем Eset NOD32 нашел это: "Win32.Hardpot.AA троянская программа sfcfiles.dll Удаление невозможно".

Прошу помогите.
16.11.2010, 20:52
thyrex

C:\Windows\system32\sfcfiles.dll замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Логи новые по правилам сделайте + пробуйте сделать лог ComboFix
17.11.2010, 21:39
Albert B

В инструкции если быть четсным, мне непонятно, что написано. Могу ли я просто копипастом заменить? А если через консоль восстановления, то там непонятно как процесс копирования делать. в интернете нашел какие-то патчи на sfcfiles.dll, скачал, установил все вслепую как маленький котенок...плохо не разбираться в чем - либо, но увы безопастность не моя стезя.(
Кажется консоль восстановления у меня не установлена. Скчал патч с сайта, активировал его, теперь NOD32 не ругается на файл sfcfiles.dll. Патч скачал с этого сайта [url]http://forum.oszone.net/thread-86074.html[/url]
Все работает прекрасно ошибка не вылезает, браузеры работают. Скачал обновления.
Запустил ComboFix, теперь он выполнился без проблем.
17.11.2010, 21:46
Albert B

После ComboFix'a к моему удивлению обновился IEдо 8ой версии, хотя до этого никак не получалось, кажется небо становится чище, темный лес расступается, все благодоря Вам.
18.11.2010, 02:25
thyrex

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива
19.11.2010, 00:32
Albert B

Прошу прощения за свою неосведомленность, но где этот великий и могучий дистрибутив находится? Читал инструкцию, я так понял, что необходимо найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?
Мне, к сожалению не очень понятна инструкция по восстановлению системных файлов при помощи консоли восстановления. При проверке ComboFix обнаружил, что у меня отсутствует консоль восстановления и предложил мне ее установить, на что я ответил нет(если я опять же все правильно понял).
Блиииин, повторно, вдУМчиво прочитал инструкцию, понял что не посмотрел здесь. Приду домой проверю, извините за неумение писать лаконичные сообщения. Все будет сделано, я надеюсь в скором времени, т.е. завтра.

[RIGHT][/RIGHT]С уважением, Albert B.
19.11.2010, 02:44
Bratez

[QUOTE='Albert B;734502']найти аналогичную ОС с одинаковым ServicePack'ом, скопировать оттуда файл и поместить его в папку c:\windows\System32\. Верно ли это?[/QUOTE]
Можно и так, если уверены, что "донор" здоров.
24.11.2010, 11:35
Albert B

Заменил дистрибутив, все браузеры установленные на компьютере раотают без проблем, ошибка обращения к памяти, появлявшаеся ранее, теперь отсутствует. Огромная благодарность Всем кто помог мне в данной ситуации. Вы очень отзывчивые и благородные люди, спасибо.
С благодарностью Albert.
24.11.2010, 12:35
thyrex

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]
25.11.2010, 12:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ozfifr.exe - [B]Backdoor.Win32.Shiz.aco[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.40705, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]